如何解决企业采用公共云服务的安全问题

本文将大致介绍一下为何企业为了更好的效益应该采用公共云服务,采用公共云服务所面临的关键安全问题和挑战是什么,以及在整体的安全评估框架中该做些什么,才能解决公共云服务所面临的安全挑战。

首先,目前并没有确凿的数据支持部分人认为“公共云服务相比企业内部数据中心的安全机制更弱”这一观点。事实上,针对Google, Sony & RSA 等大公司的网络攻击和数据丢失案例已经显示出,再严密的企业内部安全防范机制也能借由狡猾的社交陷而突破或绕过。尤其是从古至今信息安全防范机制中的一个薄弱环节一直没有被修复,即“人的因素”。

虽然这些安全漏洞并不能直接与公共云联系起来,但大部分企业都趋向于将知识产权等重要数据放在企业内部自行保管。那么公共云到底能不能妥善的保管企业的知识产权呢?考虑到公共云的扩展性,灵活性以及按需性能,答案是肯定的。

联邦政府机构,比如美国、新加坡以及亚洲和欧洲的很多政府机构都是公共云服务的早期用户,他们也促进了公共云服务供应商在云安全服务上的快速成熟。在很多实例以及特定的安全类型中,比如针对恶意软件、病毒,以及分布式拒绝服务攻击的保护方面,公共云安全技术已经证明其能比企业内部的安全防御方案更有效的对数据提供保护。Sony抵御 LOIC DDoS攻击就是个很好的例子。

总之,终端用户对于互联网服务的永无尽头的需求已经开始让公共云服务扩展到了媒体娱乐领域,如音乐、电影、社交媒体以及电子商务等。

企业也没有时间继续观望下去了。如果不采用已经被很多企业成功采用的公共云服务,所面临的企业竞争力下降的风险可能会更严重。如果企业还需要更令人信服的证据,那么可以问问Oracle的 Larry Ellison ,他曾经用“毫无意义”、“疯狂”、“白痴”等词汇形容云计算,而现在他也决定加入云计算大家庭了。这个证据有说服力吧?

不过,并不是所有类型的企业数据或服务都适合在公共云环境下管理,但是从一般的风险评估框架来看,公共云的数据安全风险可以被控制在一个能够被大部分企业接受的程度。

知晓你的云计算方案风险

每个企业的特点都是不一样的,其所面临的安全风险也是根据企业所处的行业以及运营环境而有所不同。而企业的风险因素必须被记录并处于管理之下。公共 云服务也有其自身特有的安全风险,这种风险与传统的IT外包所面临风险不同,而是与公共云所采用的技术有自然的联系。下面列出了有关公共云计算的风险以及 企业应该做的准备工作。

考虑到IT外包服务的成熟,企业为了实现更大的成本节约和资源利用率,会很自然的选择公共云计算服务。而事实并非如此。其中对公共云服务的安全性质疑一直是企业不敢采纳公共云服务的主要原因。对大多数企业来说,数据安全的风险会让它们非常恐惧。

本文中将大致介绍一下为何企业为了更好的效益应该采用公共云服务,采用公共云服务所面临的关键安全问题和挑战是什么,以及在整体的安全评估框架中该做些什么,才能解决公共云服务所面临的安全挑战。

首先,目前并没有确凿的数据支持部分人认为“公共云服务相比企业内部数据中心的安全机制更弱”这一观点。事实上,针对Google, Sony & RSA 等大公司的网络攻击和数据丢失案例已经显示出,再严密的企业内部安全防范机制也能借由狡猾的社交陷而突破或绕过。尤其是从古至今信息安全防范机制中的一个薄弱环节一直没有被修复,即“人的因素”。

虽然这些安全漏洞并不能直接与公共云联系起来,但大部分企业都趋向于将知识产权等重要数据放在企业内部自行保管。那么公共云到底能不能妥善的保管企业的知识产权呢?考虑到公共云的扩展性,灵活性以及按需性能,答案是肯定的。

联邦政府机构,比如美国、新加坡以及亚洲和欧洲的很多政府机构都是公共云服务的早期用户,他们也促进了公共云服务供应商在云安全服务上的快速成熟。 在很多实例以及特定的安全类型中,比如针对恶意软件、病毒,以及分布式拒绝服务攻击的保护方面,公共云安全技术已经证明其能比企业内部的安全防御方案更有 效的对数据提供保护。Sony抵御 LOIC DDoS攻击就是个很好的例子。

总之,终端用户对于互联网服务的永无尽头的需求已经开始让公共云服务扩展到了媒体娱乐领域,如音乐、电影、社交媒体以及电子商务等。

企业也没有时间继续观望下去了。如果不采用已经被很多企业成功采用的公共云服务,所面临的企业竞争力下降的风险可能会更严重。如果企业还需要更令人信服的证据,那么可以问问Oracle的 Larry Ellison ,他曾经用“毫无意义”、“疯狂”、“白痴”等词汇形容云计算,而现在他也决定加入云计算大家庭了。这个证据有说服力吧?

不过,并不是所有类型的企业数据或服务都适合在公共云环境下管理,但是从一般的风险评估框架来看,公共云的数据安全风险可以被控制在一个能够被大部分企业接受的程度。

采用公共云计算机服务时的数据安全建议

在采用公共云服务时,为了将安全风险尽量降低,企业可以进行以下动作:

建立一个云服务项目的部署工作表,所记录的内容包括:

采用云服务的决策制定过程

云服务涉及的企业业务以及成本的考量

确定可靠的数据存放范围并通过数据流程图和工序流程表深刻理解端到端的业务流程。

对云服务使用的认识。你的服务采购团队和架构人员必须具备足够的云服务知识和技能来选择云服务并提供相应的支持工作。

一个云服务注册器,记录企业使用公共云服务的消费状况。

为云计算建立或购买一个风险评估框架。这个框架应该包括:

定义云服务使用时的信息安全策略

对企业数据进行分类,判断哪些数据适合存储在云计算环境,哪些数据会面临较大的风险。

评估一旦数据的保密性、完整性和可用性受损后,对企业业务冲击情况。

将公共云服务安全风险内容建档保存

列出降低云服务安全风险的控制方案(可以采用风险–方案的方式制定每个潜在风险的详细应对策略)

升级信息安全合约,解决采用云服务后带来的安全和操作上的问题。服务等级协议未达标的补偿方式,信息系统审计和调查取证的权力等,都必须写入与云服务供应商签订的合约中。

对云服务产品进行渗透测试,对云服务供应商的安全控制能力进行审查,选择最能符合企业安全需求的云服务供应商。考虑使用SAS 70 type II 报告或类似的 IS审计报告来审查服务供应商的安全控制能力。

建立公共云服务退出策略

企业必须建立一套云服务退出策略,以便在企业必须将所有数据和应用迁移回企业内部或改换云服务商时,避免被云服务供应商绑定而无法退出。

总结

在公共云环境下,数据安全是需要云服务供应商和数据所有人共同承担的责任。但同时数据拥有者必须独自对数据隐私和保护承担全部责任。如果他们对数据的隐私保护不能达到监管要求,将可能会承担巨额罚金。因此很多企业已经提前投资采用了信息安全风险管理和控制工具。这些工具可以平衡基于云架构的安全风险,帮助企业实现最大的投资回报。所以,在采用公共云服务时更常见的情况是,需要鉴别和理解某个特定云服务的安全风险,并针对这类风险开发出所需的安全控制方案,从而将该类风险降到最低水平,不对企业采用云服务造成影响。